El rol de los líderes de ciberseguridad necesita replantearse

Recomendados:  "El tráfico encriptado es una autopista para el cibercrimen", Sergio Martínez, SonicWall Webinar  "Muchas empresas se plantean SASE o ZTNA como servicio para evitar complejidades", Eusebio Nieva, Check Point Webinar  Nuevas medidas de protección para un puesto de trabajo híbrido Webinar

La digitalización está cambiando la estructura de las organizaciones a muchos niveles y se están abriendo nuevos frentes en lo que se refiere a la ciberseguridad. La arquitectura cada vez más distribuida de las empresas, con puestos de trabajo remoto, tecnología perimetral y nuevas aplicaciones está desplazando el riesgo cibernético más allá del departamento de tecnología, y los líderes de seguridad y gestión de riesgos (SRM) pasan cada vez más tiempo evaluando y mejorando la seguridad de partes externas.

Según un reciente informe de Gartner, los empleados están tomando más decisiones que tienen impacto en la seguridad cibernética y se están estableciendo comités ejecutivos que están fuera del alcance de los líderes de seguridad. Los analistas creen que estos factores harán que tengan cada vez menos control directo sobre muchas de las decisiones que ahora están en sus manos, lo que requerirá cambios en sus atribuciones.

En opinión de Sam Olyaei, director de investigación de Gartner, “los líderes de ciberseguridad están agotados, con exceso de trabajo y en modo siempre activo. Este es un reflejo directo de cuán elástico se ha vuelto el rol durante la última década, debido a la creciente desalineación de las expectativas de las partes interesadas dentro de sus organizaciones”.

Las investigaciones de Gartner revelan que el 88% de las juntas directivas perciben la seguridad cibernética como un riesgo empresarial, y no solo como un problema técnico de TI. Y el 13% ha actuado creando comités directivos de seguridad cibernética supervisados por un directos dedicado. Pronostican que, para 2026, al menos un 50% de los ejecutivos de nivel C deberán tener capacidades relacionadas con la ciberseguridad integradas en sus contratos laborales.

Estos cambios afectarán a la toma de decisiones sobre el riesgo de la información, que se irán desplazando fuera del departamento de TI o de seguridad. Y Gartner prevé que se producirá un inevitable cambio en la distribución de la responsabilidad sobre ciberseguridad. Para adaptarse a los cambios que se están produciendo los expertos creen que el rol del líder de ciberseguridad debe replantearse.

Olyaei comenta que “el rol de CISO debe evolucionar de ser la persona responsable “de facto” del tratamiento de los riesgos cibernéticos, a ser responsable de garantizar que los líderes empresariales tengan las capacidades y el conocimiento necesarios para tomar decisiones de riesgo de información informadas y de alta calidad”.

Por otro lado, se espera que los objetivos y métricas de ciberseguridad amplíen su presencia en los informes ESG y Gartner pronostica que, para el año 2026, el 30% de las grandes organizaciones tendrán objetivos ESG compartidos públicamente, centrados en la ciberseguridad (2% en 2021). Claude Mandy, director de investigación de Gartner, dice que “las expectativas de que las organizaciones deberían ser más transparentes sobre sus riesgos de seguridad han aumentado, lo que ha dado lugar a la demanda pública de una mayor transparencia en sus informes ESG. La ciberseguridad ya no es únicamente un riesgo para la organización, sino un riesgo para la sociedad”.